首先,我对Azure应用程序服务不太了解,我正在寻求建议。
我正在构建一个Windows应用程序,该应用程序需要存储在Azure Vault中的机密。该应用程序将安装在各种客户端上。我想将机密集中到Vault中,这样当我需要更新机密时,所有客户端都会获得新版本的机密,并且不会中断服务。我不想每两年去一次不同的客户那里更新客户机密或每年更新一次证书。
我怎样才能做到这一点?将在全国各地安装并使用超过10年的Windows应用程序如何从Vault获得机密,而不必每2年访问一次这些客户端来更新客户端机密?
这是什么样的应用程序?用户将打开的东西或无人参与/后台应用程序?
如果用户将打开应用程序,则可以使用用户流身份验证并实现自定义API,该API将使用例如Azure B2C身份验证返回机密。在这种情况下,客户端不需要任何秘密,只需要顶部的应用程序id和用户身份验证。
在无人值守应用程序的情况下,它会变得更加复杂,因为您需要以某种方式管理个人身份,或者至少管理这些客户端的机密。就好像这些秘密中的任何一个被暴露了一样(这很容易,因为客户知道这个秘密(,你需要重新生成这些秘密。
每个客户端一个证书是可行的,但这当然需要在管理(生成、吊销、续订(方面付出大量努力。
还要记住应用程序注册在您可以创建多少秘密方面的限制https://github.com/MicrosoftDocs/azure-docs/issues/39816